Principi di progettazione per la sicurezza
Un carico di lavoro Well-Architected deve essere compilato con un approccio zero-trust. Un carico di lavoro sicuro è resiliente agli attacchi e incorpora i principi di sicurezza interrelati di riservatezza, integrità e disponibilità (noti anche come triade CIA) oltre a soddisfare gli obiettivi aziendali. Qualsiasi evento imprevisto di sicurezza ha il potenziale di diventare una violazione principale che danneggia il marchio e la reputazione del carico di lavoro o dell'organizzazione. Per misurare l'efficacia della sicurezza della strategia complessiva per un carico di lavoro, iniziare con queste domande:
Gli investimenti difensivi offrono costi e attriti significativi per impedire agli utenti malintenzionati di compromettere il carico di lavoro?
Le misure di sicurezza saranno efficaci per limitare il raggio di esplosione di un evento imprevisto?
Si capisce come controllare il carico di lavoro potrebbe essere utile per un utente malintenzionato? È possibile comprendere l'impatto dell'azienda se il carico di lavoro e i relativi dati vengono rubati, non disponibili o manomessi?
Il carico di lavoro e le operazioni possono rilevare rapidamente, rispondere e ripristinare da interruzioni?
Quando si progetta il sistema, usare il modello microsoft Zero Trust come bussola per attenuare i rischi di sicurezza:
Verificare in modo esplicito che solo le identità attendibili eseguano azioni destinate e consentite provenienti da posizioni previste. Questa protezione rende più difficile per gli utenti malintenzionati rappresentare utenti e account legittimi.
Usare l'accesso con privilegi minimi per le identità corrette, con il set corretto di autorizzazioni, per la durata corretta e per gli asset corretti. La limitazione delle autorizzazioni consente agli utenti malintenzionati di evitare autorizzazioni che gli utenti legittimi non hanno nemmeno bisogno.
Si supponga di violare i controlli di sicurezza e di progettare controlli di compensazione che limitano il rischio e il danno se un livello primario di difesa ha esito negativo. In questo modo è possibile difendere meglio il carico di lavoro pensando come un utente malintenzionato interessato al successo (indipendentemente dal modo in cui lo ottengono).
La sicurezza non è un impegno one-time. È necessario implementare queste linee guida su base ricorrente. Migliorare continuamente le conoscenze di difesa e sicurezza per mantenere il carico di lavoro sicuro dagli utenti malintenzionati che ottengono costantemente l'accesso a vettori di attacco innovativi man mano che vengono sviluppati e aggiunti ai kit di attacco automatizzati.
I principi di progettazione sono destinati a stabilire una mentalità di sicurezza continua per aiutare a migliorare continuamente il comportamento di sicurezza del carico di lavoro quando i tentativi di utenti malintenzionati si evolveno continuamente. Questi principi devono guidare la sicurezza dell'architettura, delle scelte di progettazione e dei processi operativi. Iniziare con gli approcci consigliati e giustificare i vantaggi per un set di requisiti di sicurezza. Dopo aver impostato la strategia, guidare le azioni usando l'elenco di controllo Sicurezza come passaggio successivo.
Se questi principi non vengono applicati correttamente, è possibile prevedere un impatto negativo sulle operazioni aziendali e sui ricavi. Alcune conseguenze potrebbero essere ovvie, ad esempio sanzioni per i carichi di lavoro normativi. Altri potrebbero non essere così ovvi e potrebbero causare problemi di sicurezza in corso prima di essere rilevati.
In molti carichi di lavoro cruciali la sicurezza è la principale preoccupazione, insieme all'affidabilità, dato che alcuni vettori di attacco, come l'esfiltrazione dei dati, non influiscono sull'affidabilità. La sicurezza e l'affidabilità possono eseguire il pull di un carico di lavoro in direzioni opposte perché la progettazione focalizzata sulla sicurezza può introdurre punti di errore e aumentare la complessità operativa. L'effetto della sicurezza sull'affidabilità è spesso indiretto, introdotto tramite vincoli operativi. Prendere in considerazione attentamente i compromessi tra sicurezza e affidabilità.
Seguendo questi principi, è possibile migliorare l'efficacia della sicurezza, proteggere gli asset del carico di lavoro e creare attendibilità con gli utenti.
Pianificare l'idoneità alla sicurezza
 Impegnarsi ad adottare e implementare le procedure di sicurezza nelle decisioni e nelle operazioni di progettazione dell'architettura con un attrito minimo. |
|---|
Come proprietario del carico di lavoro, si ha una responsabilità condivisa con l'organizzazione per proteggere gli asset. Creare un piano di conformità alla sicurezza allineato alle priorità aziendali. Porterà a processi ben definiti, investimenti adeguati e responsabilità appropriate. Il piano deve fornire i requisiti del carico di lavoro all'organizzazione, che condivide anche la responsabilità della protezione degli asset. I piani di sicurezza devono essere fattori nella strategia per affidabilità, modellazione dell'integrità e auto-conservazione.
Oltre agli asset dell'organizzazione, il carico di lavoro stesso deve essere protetto da attacchi di intrusione ed esfiltrazione. Tutti i facet di Zero Trust e la triade della CIA devono essere considerati nel piano.
Requisiti funzionali e non funzionali, vincoli di budget e altre considerazioni non devono limitare gli investimenti di sicurezza o diluire le garanzie. Allo stesso tempo, è necessario progettare e pianificare gli investimenti di sicurezza con tali vincoli e restrizioni in mente.
| Approccio | Vantaggi |
|---|---|
| Usare la segmentazione come strategia per pianificare i limiti di sicurezza nell'ambiente del carico di lavoro, nei processi e nella struttura del team per isolare l'accesso e la funzione. La strategia di segmentazione deve essere guidata dai requisiti aziendali. È possibile basarla sulla criticità dei componenti, sulla divisione del lavoro, sulle preoccupazioni sulla privacy e su altri fattori. |
Sarà possibile ridurre al minimo l'attrito operativo definendo i ruoli e definendo linee chiare di responsabilità. Questo esercizio consente anche di identificare il livello di accesso per ogni ruolo, soprattutto per gli account di impatto critico. L'isolamento consente di limitare l'esposizione dei flussi sensibili solo a ruoli e asset che richiedono l'accesso. Un'esposizione eccessiva potrebbe causare inavvertitamente la divulgazione del flusso di informazioni. Per riepilogare, sarà possibile eseguire operazioni di sicurezza di dimensioni corrette in base alle esigenze di ogni segmento. |
| Creare continuamente competenze tramite il training sulla sicurezza basato sui ruoli che soddisfa i requisiti dell'organizzazione e i casi d'uso del carico di lavoro. | Un team altamente qualificato può progettare, implementare e monitorare i controlli di sicurezza che rimangono efficaci contro gli utenti malintenzionati, che cercano costantemente nuovi modi per sfruttare il sistema. Il training a livello di organizzazione è in genere incentrato sullo sviluppo di un set di competenze più ampio per proteggere gli elementi comuni. Tuttavia, con il training basato sul ruolo, si concentra sullo sviluppo di competenze approfondite nelle offerte della piattaforma e nelle funzionalità di sicurezza che consentono di risolvere i problemi del carico di lavoro. È necessario implementare entrambi gli approcci per difendere contro gli avversari attraverso una buona progettazione e operazioni efficaci. |
| Assicurarsi che sia presente un piano di risposta agli eventi imprevisti per il carico di lavoro. Usare framework di settore che definiscono la procedura operativa standard per la preparazione, il rilevamento, il contenimento, la mitigazione e l'attività post-evento imprevisto. |
Al momento della crisi, la confusione deve essere evitata. Se si dispone di un piano ben documentato, i ruoli responsabili possono concentrarsi sull'esecuzione senza perdere tempo sulle azioni incerte. Inoltre, un piano completo può aiutare a garantire che tutti i requisiti di correzione siano soddisfatti. |
| Rafforzare il comportamento di sicurezza comprendendo i requisiti di conformità alla sicurezza imposti dall'esterno del team del carico di lavoro, ad esempio criteri aziendali, conformità alle normative e standard del settore. | Clarity sui requisiti di conformità ti aiuterà a progettare per le corrette garanzie di sicurezza e prevenire problemi di non conformità, che potrebbero causare sanzioni. Gli standard del settore possono fornire una linea di base e influenzare la scelta di strumenti, criteri, misure di sicurezza, linee guida, approcci di gestione dei rischi e formazione. Se si conosce che il carico di lavoro rispetta la conformità, sarà possibile infondere fiducia nella base utente. |
| Definire e applicare standard di sicurezza a livello di team nel ciclo di vita e nelle operazioni del carico di lavoro. Cercare procedure coerenti nelle operazioni come la codifica, le approvazioni gated, la gestione delle versioni e la protezione dei dati e la conservazione dei dati. |
La definizione di procedure di sicurezza consigliate può ridurre al minimo la negligenza e l'area di superficie per potenziali errori. Il team ottimizza gli sforzi e il risultato sarà prevedibile perché gli approcci sono resi più coerenti. L'osservazione degli standard di sicurezza nel tempo consente di identificare le opportunità di miglioramento, possibilmente inclusa l'automazione, che semplifica ulteriormente gli sforzi e aumenta la coerenza. |
| Allineare la risposta agli eventi imprevisti con la funzione centralizzata del Centro operazioni di sicurezza (SOC) nell'organizzazione. | La centralizzazione delle funzioni di risposta agli eventi imprevisti consente di sfruttare i professionisti IT specializzati che possono rilevare gli eventi imprevisti in tempo reale per affrontare le potenziali minacce il più rapidamente possibile. |
Progettare per proteggere la riservatezza
| Impedire l'esposizione alla privacy, alle normative, alle applicazioni e alle informazioni proprietarie tramite restrizioni di accesso e tecniche di offuscamento. |
|---|
I dati del carico di lavoro possono essere classificati da utenti, utilizzo, configurazione, conformità, proprietà intellettuale e altro ancora. Tali dati non possono essere condivisi o accessibili oltre i limiti di attendibilità stabiliti. Gli sforzi per proteggere la riservatezza devono concentrarsi sui controlli di accesso, sull'opacità e sul mantenimento di un audit trail delle attività relative ai dati e al sistema.
| Approccio | Vantaggi |
|---|---|
| Implementare controlli di accesso sicuro che concedono l'accesso solo in base alle esigenze. | Privilegio minimo. Il carico di lavoro sarà protetto dall'accesso non autorizzato e dalle attività vietate. Anche quando l'accesso proviene da identità attendibili, le autorizzazioni di accesso e il tempo di esposizione verranno ridotte al minimo perché il percorso di comunicazione è aperto per un periodo limitato. |
| Classificare i dati in base al tipo, alla riservatezza e al rischio potenziale. Assegnare un livello di riservatezza per ogni oggetto. Includere i componenti di sistema inclusi nell'ambito del livello identificato. |
Verifica esplicita. Questa valutazione consente di misure di sicurezza di dimensioni corrette. Sarà anche possibile identificare i dati e i componenti che hanno un impatto elevato e/o l'esposizione ai rischi. Questo esercizio aggiunge chiarezza alla strategia di protezione delle informazioni e aiuta a garantire il contratto. |
| Proteggere i dati inattivi, in transito e durante l'elaborazione usando la crittografia. Basare la strategia sul livello di riservatezza assegnato. | Presunzione di violazione. Anche se un utente malintenzionato ottiene l'accesso, non sarà in grado di leggere correttamente i dati sensibili crittografati. I dati sensibili includono informazioni di configurazione usate per ottenere un ulteriore accesso all'interno del sistema. La crittografia dei dati consente di contenere rischi. |
| Sorvegliare gli exploit che potrebbero causare un'esposizione non autorizzata delle informazioni. | Verifica esplicita. È fondamentale ridurre al minimo le vulnerabilità nelle implementazioni di autenticazione e autorizzazione, codice, configurazioni, operazioni e quelli che derivano dalle abitudini sociali degli utenti del sistema. Le misure di sicurezza aggiornate consentono di bloccare le vulnerabilità di sicurezza note dall'immissione del sistema. È anche possibile attenuare nuove vulnerabilità che possono essere visualizzate nel tempo implementando operazioni di routine durante il ciclo di sviluppo, migliorando continuamente le garanzie di sicurezza. |
| Proteggere l'esfiltrazione dei dati che comporta l'accesso dannoso o inavvertita ai dati. | Presunzione di violazione. Sarà possibile contenere il raggio di esplosione bloccando il trasferimento dei dati non autorizzati. Inoltre, i controlli applicati alla rete, all'identità e alla crittografia proteggeranno i dati in vari livelli. |
| Mantenere il livello di riservatezza come flussi di dati attraverso vari componenti del sistema. | Presunzione di violazione. L'applicazione dei livelli di riservatezza in tutto il sistema consente di fornire un livello coerente di protezione avanzata. In questo modo, è possibile impedire la migrazione dei dati a un livello di sicurezza inferiore. |
| Mantenere un audit trail di tutti i tipi di attività di accesso. | Presunzione di violazione. I log di controllo supportano il rilevamento e il ripristino più veloci in caso di eventi imprevisti e consentono di monitorare la sicurezza in corso. |
Progettare per proteggere l'integrità
| Impedire il danneggiamento della progettazione, dell'implementazione, delle operazioni e dei dati per evitare interruzioni che possono impedire al sistema di recapitarne l'utilità prevista o di farlo funzionare al di fuori dei limiti prescritti. Il sistema deve fornire la garanzia delle informazioni nel ciclo di vita del carico di lavoro. |
|---|
La chiave consiste nell'implementare controlli che impediscono la manomissione della logica di business, dei flussi, dei processi di distribuzione, dei dati e persino dei componenti dello stack inferiore, ad esempio il sistema operativo e la sequenza di avvio. La mancanza di integrità può introdurre vulnerabilità che possono causare violazioni nella riservatezza e nella disponibilità.
| Approccio | Vantaggi |
|---|---|
| Implementare controlli di accesso sicuro che autenticano e autorizzano l'accesso al sistema. Ridurre al minimo l'accesso in base ai privilegi, all'ambito e al tempo. |
Privilegio minimo. A seconda della forza dei controlli, sarà possibile impedire o ridurre i rischi da modifiche non approvate. Ciò consente di garantire che i dati siano coerenti e affidabili. Ridurre al minimo l'accesso limita l'entità del potenziale danneggiamento. |
| Proteggere continuamente dalle vulnerabilità e rilevarli nella catena di fornitura per impedire agli utenti malintenzionati di inserire errori software nell'infrastruttura, compilare sistemi, strumenti, librerie e altre dipendenze. La catena di fornitura deve analizzare le vulnerabilità durante il tempo di compilazione e il runtime. |
Presunzione di violazione. Conoscere l'origine del software e verificare la sua autenticità nel ciclo di vita fornirà la stima. Si conosceranno in anticipo le vulnerabilità in modo che sia possibile correggere in modo proattivo e mantenere il sistema sicuro nell'ambiente di produzione. |
| Stabilire attendibilità e verificare usando tecniche di crittografia come attestazione, firma del codice, certificati e crittografia. Proteggere questi meccanismi consentendo la decrittografia affidabile. |
Verificare in modo esplicito il privilegio minimo. Si sa che le modifiche ai dati o all'accesso al sistema vengono verificate da un'origine attendibile. Anche se i dati crittografati vengono intercettati in transito da un attore malintenzionato, l'attore non sarà in grado di sbloccare o decifrare il contenuto. È possibile usare le firme digitali per assicurarsi che i dati non siano stati manomessi durante la trasmissione. |
| Assicurarsi che i dati di backup non siano modificabili e crittografati quando i dati vengono replicati o trasferiti. | Verificare in modo esplicito. Sarà possibile ripristinare i dati con sicurezza che i dati di backup non sono stati modificati inattivi, inavvertitamente o dannosamente. |
| Evitare o attenuare le implementazioni del sistema che consentono al carico di lavoro di operare al di fuori dei limiti e degli scopi previsti. | Verificare in modo esplicito. Quando il sistema dispone di misure di sicurezza forti che controllano se l'utilizzo è allineato ai relativi limiti e scopi previsti, l'ambito per potenziali abusi o manomissione dell'archivio dati, della rete e del calcolo è ridotto. |
Progettare per proteggere la disponibilità
| Impedire o ridurre al minimo i tempi di inattività del sistema e del carico di lavoro in caso di evento imprevisto di sicurezza usando controlli di sicurezza sicuri. È necessario mantenere l'integrità dei dati durante l'evento imprevisto e dopo il ripristino del sistema. |
|---|
È necessario bilanciare le scelte di architettura di disponibilità con le scelte di architettura di sicurezza. Il sistema deve avere garanzie di disponibilità per garantire che gli utenti abbiano accesso ai dati e che i dati siano raggiungibili. Dal punto di vista della sicurezza, gli utenti devono operare all'interno dell'ambito di accesso consentito e i dati devono essere attendibili. I controlli di sicurezza devono bloccare gli attori non validi, ma non dovrebbero impedire agli utenti legittimi di accedere al sistema e ai dati.
| Approccio | Vantaggi |
|---|---|
| Impedire alle identità compromesse di usare in modo improprio l'accesso per ottenere il controllo del sistema. Verificare la presenza di limiti di tempo e ambito eccessivamente pervasivi per ridurre al minimo l'esposizione al rischio. |
Privilegio minimo. Questa strategia riduce i rischi di autorizzazioni di accesso eccessivo, non necessario o improprio per le risorse cruciali. I rischi includono modifiche non autorizzate e anche l'eliminazione delle risorse. Sfruttare le modalità di sicurezza jit (JIT) fornite dalla piattaforma, l'accesso just-enough e le modalità di sicurezza basate sul tempo per sostituire le autorizzazioni permanenti, ovunque possibile. |
| Usare i controlli di sicurezza e i modelli di progettazione per impedire attacchi e difetti del codice di causare l'esaurimento delle risorse e bloccare l'accesso. | Verifica esplicita. Il sistema non verificherà tempi di inattività causati da azioni dannose, ad esempio attacchi DDoS (Distributed Denial of Service). |
| Implementare misure preventive per i vettori di attacco che sfruttano vulnerabilità nel codice dell'applicazione, protocolli di rete, sistemi di identità, protezione malware e altre aree. | Presunzione di violazione. Implementare gli scanner di codice, applicare le patch di sicurezza più recenti, aggiornare il software e proteggere il sistema con antimalware efficace in modo continuativo. Sarà possibile ridurre la superficie di attacco per garantire la continuità aziendale. |
| Assegnare priorità ai controlli di sicurezza sui componenti e i flussi critici nel sistema che sono soggetti a rischi. | Si supponga di violare, verificare in modo esplicito. Gli esercizi di rilevamento e priorità regolari consentono di applicare competenze di sicurezza agli aspetti critici del sistema. Sarà possibile concentrarsi sulle minacce più probabili e dannose e avviare la mitigazione dei rischi in aree che necessitano della massima attenzione. |
| Applicare almeno lo stesso livello di rigore della sicurezza nelle risorse e nei processi di ripristino dell'ambiente primario, inclusi i controlli di sicurezza e la frequenza di backup. | Presunzione di violazione. È necessario disporre di uno stato del sistema sicuro mantenuto nel ripristino di emergenza. In caso affermativo, è possibile eseguire il failover in un sistema secondario o una posizione sicura e ripristinare i backup che non introducono una minaccia. Un processo ben progettato può impedire a un evento imprevisto di sicurezza di impedire il processo di ripristino. I dati di backup danneggiati o i dati crittografati che non possono essere decifrati possono rallentare il ripristino. |
Sostenere ed evolvere il comportamento di sicurezza
| Incorporare un miglioramento continuo e applicare la vigilanza per rimanere in anticipo sugli utenti malintenzionati che stanno evolvendo continuamente le strategie di attacco. |
|---|
Il comportamento di sicurezza non deve degradare nel tempo. È necessario migliorare continuamente le operazioni di sicurezza in modo che le nuove interruzioni vengano gestite in modo più efficiente. Allineare i miglioramenti alle fasi definite dagli standard del settore. Ciò comporta una migliore preparazione, riduzione del tempo per il rilevamento degli eventi imprevisti e una riduzione efficace del contenimento e della mitigazione. Il miglioramento continuo deve essere basato sulle lezioni apprese dagli eventi imprevisti passati.
È importante misurare il comportamento di sicurezza, applicare criteri per mantenere tale comportamento e convalidare regolarmente le mitigazioni della sicurezza e compensare i controlli per migliorare continuamente il comportamento di sicurezza in caso di minacce in evoluzione.
| Approccio | Vantaggi |
|---|---|
| Creare e gestire un inventario completo degli asset che include informazioni classificate sulle risorse, le posizioni, le dipendenze, i proprietari e altri metadati rilevanti per la sicurezza. Il più possibile, automatizzare l'inventario per derivare dati dal sistema. |
Un inventario ben organizzato offre una visione olistica dell'ambiente, che ti mette in una posizione vantaggiosa contro gli utenti malintenzionati, soprattutto durante le attività post-eventi imprevisti. Crea anche un ritmo aziendale per guidare la comunicazione, il ripristino dei componenti critici e la rimozione delle risorse orfane. |
| Eseguire la modellazione delle minacce per identificare e mitigare le potenziali minacce. | Si avrà un report di vettori di attacco con priorità a livello di gravità. Sarà possibile identificare rapidamente le minacce e le vulnerabilità e configurare le contromisure. |
| Acquisire regolarmente i dati per quantificare lo stato corrente rispetto alla baseline di sicurezza stabilita e impostare le priorità per le correzioni. Sfruttare le funzionalità fornite dalla piattaforma per la gestione del comportamento di sicurezza e l'imposizione della conformità imposta dalle organizzazioni esterne e interne. |
Sono necessari report accurati che portano chiarezza e consenso alle aree di interesse. Sarà possibile eseguire immediatamente le correzioni tecniche, a partire dagli elementi con priorità più alta. Si identificano anche le lacune, che offrono opportunità di miglioramento. L'implementazione dell'applicazione consente di evitare violazioni e regressioni, mantenendo il comportamento di sicurezza. |
| Eseguire test di sicurezza periodici condotti da esperti esterni al team del carico di lavoro che tentano di violare eticamente il sistema. Eseguire l'analisi delle vulnerabilità di routine e integrata per rilevare gli exploit nell'infrastruttura, nelle dipendenze e nel codice dell'applicazione. |
Questi test consentono di convalidare le difese di sicurezza simulando attacchi reali usando tecniche come i test di penetrazione. Le minacce possono essere introdotte come parte della gestione delle modifiche. L'integrazione degli scanner nelle pipeline di distribuzione consente di rilevare automaticamente le vulnerabilità e persino di mettere in quarantena l'utilizzo fino a quando non vengono rimosse le vulnerabilità. |
| Rilevare, rispondere e ripristinare con operazioni di sicurezza rapide ed efficaci. | Il vantaggio principale di questo approccio è che consente di mantenere o ripristinare le garanzie di sicurezza della triade CIA durante e dopo un attacco. È necessario ricevere un avviso non appena viene rilevata una minaccia in modo da poter avviare le indagini ed eseguire le azioni appropriate. |
| Eseguire attività post-evento imprevisto come analisi della causa radice, postmortems e report sugli eventi imprevisti. | Queste attività forniscono informazioni dettagliate sull'impatto della violazione e sulle misure di risoluzione, che determinano miglioramenti nelle difese e nelle operazioni. |
| Ottenere l'aggiornamento corrente e rimanere aggiornati. Rimanere aggiornati sugli aggiornamenti, l'applicazione di patch e le correzioni di sicurezza. Valutare continuamente il sistema e migliorarlo in base a report di controllo, benchmarking e lezioni dalle attività di test. Prendere in considerazione l'automazione, in base alle esigenze. Usare l'intelligence sulle minacce basata sull'analisi della sicurezza per il rilevamento dinamico delle minacce. A intervalli regolari, esaminare la conformità del carico di lavoro alle procedure consigliate sdl (Security Development Lifecycle). |
Sarà possibile assicurarsi che il comportamento di sicurezza non si degradi nel tempo. Integrando i risultati di attacchi e attività di test reali, sarà possibile combattere gli utenti malintenzionati che migliorano e sfruttano continuamente nuove categorie di vulnerabilità. L'automazione delle attività ripetitive riduce la possibilità di errori umani che possono creare rischi. Le revisioni SDL illustrano in modo chiaro le funzionalità di sicurezza. SDL consente di gestire un inventario degli asset del carico di lavoro e dei relativi report di sicurezza, che coprono l'origine, l'utilizzo, i punti deboli operativi e altri fattori. |
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per